Wiresharkの設定メモ

Wiresharkをインストールしたあとなどのメモ

一般ユーザーでもキャプチャできるようにする

wiresharkグループにユーザーを追加し, dumpcapの権限を変更した後, ケイパビリティで権限を与える.

$ sudo usermod -a -G wireshark <USER>
$ sudo chgrp wireshark /usr/bin/dumpcap
$ sudo chmod 4750 /usr/bin/dumpcap
$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
$ sudo getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

再起動すると設定が反映され, 一般ユーザーでもキャプチャできるようになる.

USBのパケットをキャプチャする

$ sudo modprobe usbmon

表示時刻の変更

どの時間に何が起こったかをわかりやすくするために View - Time Display Format - Date and Time of Day に変更.

カラムの変更

Preference - User Interface - Columns から追加.
Properties から Field type で Custom を選択することでフィルタが使える.
http.hostとssl.handshake.extensions_server_name を追加し, どのドメインと通信しているのをわかりやすくする.

よく使うフィルタを保存する

[Shift]+[Ctrl]+[P]から設定画面を開き, Filter Expressions からフィルタを追加する.
追加すると, キャプチャ画面のフィルターペインからワンクリックでそのフィルタを適用できる.

また, 保存したいフィルタがわからない場合はPacketDetailsペインでフィルタしたい項目をクリックするとフィルタが左下に表示されるので参考になる.
それと合わせて DisplayFilters - The Wireshark Wiki を見ておくといい.

このあたりは, 解析したいパケットに合わせて適用するが, 以下は自分がよく使うフィルタをメモとして残しておく.

特定のバイト列が含まれるパケットのみを表示

例えば 0x464c4147(FLAG) が含まれるパケットを検索したいとき

frame contains 46:4c:41:47

特定の文字列が含まれるパケットのみを表示

マルウェアなどexeやcmdといった文字列を含む通信を行うのでそういったときに...
例えば"exe"という文字列を含むパケットを検索したいとき

tcp contains "exe"

特定のHTTPリクエストのパケットを表示

http.request.method == GET

http.request.method == POST